Com protegir GRUB amb una contrasenya (Linux)

Normalment utilitzem una bona part del nostre temps a evitar l'accés no autoritzat als nostres equips: configurem firewalls, permisos dels usuaris, ACL, creem contrasenyes segures, etc.; però poques vegades recordem protegir l'arrencada dels nostres equips.

Si una persona té accés físic a l'ordinador, podeu reiniciar-lo i canviar els paràmetres de GRUB per aconseguir accés com a administrador a l'equip. Només cal afegir un '1' o una 's' al final de la línia 'kernel' de GRUB per aconseguir aquesta classe d'accés.


Per evitar-ho, es pot protegir GRUB mitjançant la utilització d'una contrasenya, de manera que si no es coneix, no sigui possible modificar-ne els paràmetres.

Si teniu instal·lat el gestor d'arrencada GRUB (que és el més comú si utilitzeu les distribucions Linux més populars), podeu protegir cada entrada del menú de GRUB amb una contrasenya. D'aquesta manera, cada vegada que trieu un sistema operatiu per arrencar, us demanarà la contrasenya que heu especificat per poder arrencar el sistema. I com a benefici addicional, si et roben l'equip, els intrusos no podran accedir als teus fitxers. Se sent bé, no?

GRUB 2

Per a cada entrada del Grub es pot establir un usuari amb privilegis per modificar els paràmetres de les entrades que apareixen GRUB en iniciar el sistema, a banda del superusuari (aquell que té accés per modificar el Grub prement la tecla “e” ). Això ho farem al fitxer /etc/grub.d/00_header. Obrim el fitxer amb el nostre editor preferit:

sudo nano /etc/grub.d/00_header

Al final vaig enganxar el següent:

cat < < EOF
set superusers=”user1″
password user1 password1
EOF

On user1 és el superusuari, exemple:

cat < < EOF
set superusers=”superusuari”
password superusuari 123456
EOF

Per crear més usuaris, afegeix-los a sota:

password superusuari 123456

Quedaria més o menys de la manera següent:

cat < < EOF
set superusers="superusuari"
password superusuari 123456
password usuari2 7890
EOF

Un cop establert els usuaris que vulguem, guardem els canvis.

Protegir Windows 

Per protegir Windows cal editar el fitxer /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Cerca una línia de codi que diu:

menuentry "${LONGNAME} (on ${DEVICE})" {

Ha de quedar així (sent superusuari el nom del superusuari):

menuentry "${LONGNAME} (on ${DEVICE})" –users superusuari {

 
Deseu els canvis i executeu:

sudo update-grub

Vaig obrir el fitxer /boot/grub/grub.cfg:

sudo nano grub.cfg

I on hi ha l'entrada de Windows (una cosa semblant a això):

menuentry "Windows XP Professional" {

canvia-ho per això (sent usuari2 el nom de l'usuari que tingui privilegis per accedir):

menuentry "Windows XP Professional" –users usuari2 {

Reinicieu i llest. Ara, quan intenteu entrar a Windows us demanarà la contrasenya. Si premeu la tecla “e” també us demanarà la contrasenya.

Protegir Linux

Per protegir les entrades del nucli de Linux editeu el fitxer /etc/grub.d/10_linux, i busqueu la línia que diu:

menuentry "$1" {

Si només voleu que pugui accedir el superusuari hauria de quedar així:

menuentry "$1" –users user1 {

Si voleu que hi pugui accedir un segon usuari:

menuentry "$1" –users usuari2 {

També podeu protegir l'entrada de la comprovació de memòria, editant el fitxer /etc/grub.d/20_memtest:

menuentry "Memory test (memtest86+)" –users superusuari {

Protegir totes les entrades

Per protegir totes les entrades executeu:

sudo set -i -e '/^menuentry /s/ {/ –users superusuari {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom

Per desfer aquest pas, executeu:

sudo set -i -e '/^menuentry /s/ –users superusuari[/B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Comencem obrint l´entorn de GRUB. Vaig obrir una terminal i vaig escriure:

menjar

Després, vaig introduir la següent ordre:

md5crypt

Et preguntarà la contrasenya que vols utilitzar. Escribilla i perisonà Enter. Obtindràs una contrasenya xifrada, que has de guardar amb molt de compte. Ara, amb permisos d'administrador, vaig obrir el fitxer /boot/grub/menu.lst amb el teu editor de text favorit:

sudo gedit /boot/grub/menu.lst

Per posar la contrasenya a les entrades del menú de GRUB que prefereixis, has d'afegir el següent a cadascuna de les entrades que vols protegir:

password --md5 la meva_contrasenya

On la meva_contrasenya seria la contrasenya (encriptada) retornada per md5crypt: Abans:

title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

després:

title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Deseu el fitxer i reinicieu. Així de fàcil! Per evitar, no només que algun malintencionat pugui canviar els paràmetres de configuració de l'entrada protegida, sinó que tampoc pugui ni tan sols iniciar aquest sistema, podeu afegir una línia a l'entrada «protegida», després del paràmetre title. Seguint el nostre exemple, quedaria una cosa així:

title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
bloquejar
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

La propera vegada que algú vol iniciar aquest sistema, haureu d'introduir la contrasenya.

font: Delanover & Maquillatge de & Fòrums d'Ubuntu & Elavdeveloper


2 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Marcelo Miranda va dir

    Hola vull dajuda si us plau vull protegir el nucli del meu sistema android amb una contrasenya ja que si em roben el dispositiu canvien la ROM i no podria recuperar mai!! Si em poden ajudar… tinc accés a superusuari, però vull que em demani un pass al moment que poses l'equip en mode de baixada. Gràcies per endavant.

  2.   Jose Damian va dir

    Excel·lent aportació. Subscrit